-
-
[原创]steup_H164_1恶意软件分析报告——动态分析
-
发表于: 2015-1-5 18:51
-
基本信息
报告名称:steup_H164_1恶意软件分析
作者:精灵(^_^)/淘气鬼
报告更新日期:2014.12.25
样本发现日期:2014.12.20
样本类型:.exe文件
样本名称:steup_H164_1.exe
样本大小:4.1M
动态分析工具进行分析
现在主要使用一下几个工具对目标文件进行动态监测netcat、regshot、apateDNS、process explorer。
首先打开以上各种工机具,做好监测准备。做好系统快照、Regshot进行摄取1,apateDNS开始服务。
先将虚拟机不联网则打开运行。最先得到的结果是安装了“点滴天气”一款软件,还显弹出一个对话框“无法连接服务器”,证明静态分析是该程序是需要连接互联网,或许某个服务器的数据。如图4所示:
差点忽略了一点,“点滴天气”它的默认播报地址是“宁波”,根据我的情报分析经验这款.exe文件的制造地应该是在宁波,不然就是“点滴天气”这款软件的服务制造商是宁波的。
现在开始查看regshot里面的有价值东西
增加6个键
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dayweather_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dayweather_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\steup_H164_1_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\steup_H164_1_RASMANCS
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_PROCEXP152\0000\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PROCEXP152\0000\Control
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows
NT\CurrentVersion\Perflib\CurrentLanguage\Counter:
再查看process explorer里面的进程
多出dayweather.exe在运行
看一下ApateDNS捕获的的连接请求
IAD中找到几个网站地址:(抛开IDA汇编指令解析,先讲基础)
1. http://yyfm.tanjiemeng.com而随其后的是一个路径,
LOCAL_APPDATA}\\TaoTaoSou\\TTK\\TaoTaoSou
首先用浏览器打开这个域名,结果自动下载一个未知的setup.exe程序;所以上面的路径应该会是这个sutup.exe安装地址。将要等待进一步确认。
2. http://pps.tanjiemeng.com,下载 爱奇艺浏览器安装程序地址
D:\\IQIYI Video\\LStyle\\QyClient.exe ,存放地址
{PROGRAM_FILES}\\IQIYI Video\\LStyle\\QyCl,安装地址
3. http://weibo.tanjiemeng.com,下载 谈结盟 微博安装程序地址
{PROGRAM_FILES}\\Sina\\WeiboHot\\Bin\\Weibo安装地址
4. http://tts.tanjiemeng.com, 下载 谈结盟 游戏地址
LOCAL_APPDATA}\\TaoTaoSou\\TTK\\TaoTaoSou,安装地址
5. http://yyfm.tanjiemeng.com,下载 谈结盟 yy语音安装程序地址
{PROGRAM_FILES}\\fmol_*.*,安装地址
6. http://uc.tanjiemeng.com,下载地址 下载UC浏览器安装程序地址
{PROGRAM_FILES}\\UCBrowser\\Application\\U,安装地址
7. http://bwt.tanjiemeng.com,下载 谈结盟 安装程序地址
{LOCAL_APPDATA}\\B5T\\ShoppingAssistant\\B,安装地址
验证以上内容是否正确,则需要将虚拟机连上网,然后验证……
现在连好网,再次进行安装该软件。
安装完毕之后弹出一个对话框,如图6
这正是在IDA里面找到的几个相关URL链接他们相关的下载相关的软件。
点击完成之后,会自动又弹出“大天使之剑”。如图7
接下来还有相关的还自动打开浏览器并打开并且系统还弹出防火墙警报,如图8:
也打开一个UC浏览器,并提示是否设置其为默认浏览器,如图9:
在关闭浏览器之后,浏览器还自动打开并打开如下几个链接:
http://x.kuwo.cn/650037?from=2025009341
http://tr.trektechies.com/
http://g.o37o.net/2/1909.html?uid=100013&ext=MTAzwMDY4LDEwMDA2Nyx4Y3NqazMzQHFxLmNvbSwxMDAwMTMsMTAwMDEzLDEwMDAxMyw=
http://g.o37o.net/1/1866.html?uid=100013&ext=MTAzwMDcxLDEwMDA2OSx4Y3NqazMzQHFxLmNvbSwxMDAwMTMsMTAwMDEzLDEwMDAxMyw=
现在再回桌面看看里面新出现的几个快捷键,如图10:
现在再回头看看使用几个动态监测工具检测到的结果:
1. Process Explorer:检测到多出一下一个进程,CU浏览器,360安全加速器,PPS播放器,大天使之剑,两性健康,点滴天气,搜狗激素引擎等,如图12、13:
2. Regshot的扑捉结果,如图13:
在得出的报告中查看到,以上的注册表的操作都是为以上以及软件运行进行注册,使得相关软件能够在下一次系统开始运行时就直接运行。
3. Apate DNS 捕捉到的结果如图14:
捕捉到的几个URL链接:
http://get.sougou.com
http://www.hongganshebei.org
http://dts.tanjiemeng.com
http://ip.ws.126.net
http://weather.gtimg.cn
http://pianku.douww.com
http://mini.tianqi.douww.com
http://tb.sogou.com
这些正是运行该目标程序通过网络安装的软件,以及向外联系的目标网址。该目标软件向相关的URL发送请求,下载相关的软件,然后对相关的软件进行安装并运行。
相关服务器信息分析:
预防及修复措施:
技术热点及总结:
这个程序运用了相关的技术,实现了如下几个功能:
1. 首先该程序自带了“点滴天气”的相关程序代码。在为联网的情况下,就实现对“点滴天气”的安装和运行,并修改相关的系统注册表,使得在系统的下一次运行时,“点滴天气”自动运行。
2. 在联网的情况下,先完成“点滴天气”的安装之后,还向一下域名发送数据请求:
http://get.sougou.com
http://www.hongganshebei.org
http://dts.tanjiemeng.com
http://ip.ws.126.net
http://weather.gtimg.cn
http://pianku.douww.com
http://mini.tianqi.douww.com
http://tb.sogou.com
3. 并通过链接以下的URL,进行相关文件程序,接着运行下载的程序进行安装和修改注册表。
http://yyfm.tanjiemeng.com
http://weibo.tanjiemeng.com
http://tts.tanjiemeng.com
http://yyfm.tanjiemeng.com
http://uc.tanjiemeng.com
http://bwt.tanjiemeng.com
安装完之后自动运行相关的软件。
关键技术:修改注册表、向指定的域名发送数据请求、链接相关的URL、将下载的程序自动安装并运行。
结论:这是一个捆绑软件,其中捆绑有:点滴天气,爱奇艺,大天使之剑,两性健康,360安全加速器,搜狗急速引擎,UC浏览器,以及大天使之剑的各种论坛插件。只要是实现的功能是:通过向指定的域名发送相关请求,指定的URL下载相关程序安装并运行;为了能够及时运行安装的软件,修改了系统注册表。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
赞,...
|
|
|
|
|
|
|
|
|
|
